如何通过 Cognito 用户 ID 限制访问 AWS API Gateway 端点

Posted 2023-03-27

【中文标题】如何通过 Cognito 用户 ID 限制访问 AWS API Gateway 端点

【英文标题】：How to restricted to access AWS API Gateway endpoint by Cognito user id

【发布时间】：2021-07-25 18:43:37

【问题描述】：

我正在尝试使用 AWS Cognito、Api-Gateway 和 Lambda 实现电子商务应用程序后端。

要创建新项目，用户必须登录。创建项目后，使用的登录者将成为项目的创建者。我已经创建了一个 Item-create 端点并为 Apigateway 端点添加了 Cognito-JWT 授权方。

现在我需要实现 Item-update 端点。必须仅允许项目的创建者进行相关的项目更新。 API可能是这样的。

/items/item-id PUT
body :  title, price... 
header  Authorization: Cognito-JWT-Token 

使用 AWS 生态系统实施此类功能的最佳方式是什么。或实现此类功能的任何最佳实践。

【参考方案1】：

您将为作为用户 ID 的每个项目创建一个属性 owner。通常，您会使用令牌中的 sub 声明，这是一个唯一 ID。但是，出于各种原因，我不建议将主题值与 cognito 一起使用。如果有人删除了他们的帐户并使用相同的电子邮件创建了一个新帐户，您可以使用电子邮件确保安全措施到位。

无论您选择什么，在您的处理程序中将所有者与经过验证的令牌声明进行比较。如果匹配则允许，如果不匹配则禁止。

【讨论】：

谢谢@Andrew。这意味着我们必须在 lambda 处理程序中处理它。

对于 REST API 是的。如果您使用身份池，您可以在 dynamodb 和 S3 中强制执行细粒度访问。但我不会采用这种方法，因为它的迁移路径非常糟糕。